○多古町住民基本台帳ネットワークシステムセキュリティ対策規程
(平成15年2月5日訓令第2号)
改正
平成19年2月1日訓令第2号
平成24年10月30日訓令第13号
平成27年12月28日訓令第22号
平成31年4月1日訓令第10号
目次
第1章 総則(第1条-第3条)
第2章 組織・管理体制(第4条-第9条)
第3章 住基ネットの運用管理(第10条-第23条)
第4章 雑則(第24条)
附則
第1章 総則
(趣旨)
第1条
この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)その他の関係法令に基づき、住民基本台帳ネットワークシステム(以下「住基ネット」という。)における本人確認情報(法第30条の6第1項に規定する本人確認情報をいう。以下同じ。)の安全確保等に係るセキュリティ対策について必要な事項を定めるものとする。
(定義)
第2条
この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)
住基ネット 電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクヘの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号。以下「技術的基準」という。)第1の1に規定する住民基本台帳ネットワークシステムをいう。
(2)
システム 住基ネットのうち、多古町が整備し、運用管理を行うもので、コミュニケーションサーバ、統合端末、電気通信関係装置(地方公共団体情報システム機構(法第30条の2第1項に規定する地方公共団体情報システム機構をいう。)が設置したファイアウォール(ネットワークにおいて不正侵入を防御する電子計算機をいう。以下同じ。))、電気通信回線、プログラム等により構成されるシステムをいう。
(3)
コミュニケーションサーバ 県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うために使用する電子計算機をいう。
(4)
統合端末 県サーバ(技術的基準第1の3に規定する電子計算機をいう。)又は機関サーバ(技術的基準第1の4に規定する電子計算機をいう。)に記録され、又は保存された本人確認情報を利用する事務を行うためのシステムを備えた電子計算機をいう。
(5)
重要機能室 コミュニケーションサーバを設置し、本人確認情報の記録された磁気ディスクを保管する室をいう。
(6)
情報資産 システムを構成する機器、コミュニケーションサーバ及び磁気ディスクに記録し、又は保存された本人確認情報並びに本人確認情報が出力された帳票をいう。
(7)
照合情報認証 静脈等の情報に不可逆演算を施して登録された情報(以下「照合情報」という。)と認証時に読み取られる情報を照合することにより認証する方法をいう。
(8)
照合ID 操作者を識別するための符号をいう。
(9)
操作者ID 操作者の操作権限を識別するための符号をいう。
(セキュリティの基本原則)
第3条
本人確認情報の安全確保等に係るセキュリティ対策(以下「セキュリティ対策」という。)は、本人確認情報を保護することを最優先事項として、本人確認情報の漏えいを防止するとともに、その滅失及び毀損を防止し、本人確認情報を常に最新かつ正確な状態に保ち、並びに住基ネットの継続的な運用を行えるよう必要な措置を講じることにより、実施するものとする。
2
セキュリティ対策は、前項に定めるところにより、制度面、技術面及び運用面から必要な措置を講じ、継続的に実施しなければならない。
第2章 組織・管理体制
(セキュリティ統括責任者)
第4条
住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2
セキュリティ統括責任者は、副町長をもって充てる。
3
セキュリティ統括責任者は、住基ネットのセキュリティ対策に関する事務を統括する。
(システム管理者)
第5条
住基ネットの適切な管理を行うため、システム管理者を置く。
2
システム管理者は、住民課長をもって充てる。
3
システム管理者は、セキュリティ統括責任者を補助し、住基ネットにおけるアクセス管理及び情報資産の管理その他住基ネットの運用管理に関する事務を総括する。
4
システム管理者は、次条の規定により、システム担当者を置き、住基ネットの運用管理に関する事務を行わせるものとする。
(システム担当者)
第6条
システム担当者は、コミュニケーションサーバ又は統合端末を操作し、住基ネットの運用管理を行う。
2
システム担当者は、住民課の職員の中からシステム管理者があらかじめ指定するものとする。
3
システム管理者は、前項の規定により指定した者にその業務を行わせる必要がなくなったときは、その指定を解除しなければならない。
(セキュリティ責任者)
第7条
住基ネットのセキュリティ対策を実施するため、セキュリティ責任者を置く。
2
セキュリティ責任者は、住民課長をもって充てる。
(セキュリティ会議)
第8条
住基ネットのセキュリティ対策を適正かつ円滑に実施するため、セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2
セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1)
システム管理者
(2)
セキュリティ責任者
(3)
総務課長
3
セキュリティ会議は、次に掲げる事項を審議する。
(1)
住基ネットのセキュリティ対策の決定及び見直しに関すること。
(2)
セキュリティ対策の遵守状況の確認に関すること。
(3)
教育・研修の実施に関すること。
4
議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5
セキュリティ会議の庶務は、住民課において処理する。
(関係課に対する指示等)
第9条
セキュリティ総括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対して指示又は必要な措置を要請することができる。
第3章 住基ネットの運用管理
(重要機能室における入退室管理)
第10条
重要機能室における関係者の入退室の管理は、住民課長が行う。
2
重要機能室は、関係者が入室し、又は退室する場合のほかは、常に施錠しておかなければならない。
3
住民課長は、必要と認める者以外の者を重要機能室に入室させてはならない。
4
住民課長は、重要機能室の入退室管理簿(別記第1号様式)を作成し、これに入室者の氏名、入室及び退室の日時その他必要と認める事項を記録しておかなければならない。
(鍵の管理)
第11条
重要機能室の鍵の管理は、住民課長が行う。
2
住民課長は、重要機能室への入室を必要と認めた者に限り、鍵を貸与するものとする。
(統合端末の管理)
第12条
統合端末は、システム管理者が管理する。
2
統合端末の設置場所は、統合端末の画面が操作者以外の者から容易に見えないように配慮しなければならない。
3
システム管理者は、統合端末が設置場所以外に持ち出されることがないよう必要な措置を講じなければならない。
4
システム管理者は、次条第1項の規定より指定した者以外の者に統合端末を操作させてはならない。
(操作者の指定)
第13条
システム管理者は、統合端末を操作し、本人確認情報を取り扱う者(以下「操作者」という。)をあらかじめ指定しなければならない。
2
前項の規定により操作者の指定をする場合は、その人数は、必要最小限の数としなければならない。
3
システム管理者は、第1項の規定により操作者に指定した者にその業務を行わせる必要がなくなったときは、その指定を解除しなければならない。
(アクセス管理)
第14条
システム管理者は、次の各号に掲げる住基ネットの構成機器について、アクセス管理を行うものとする。
(1)
コミュニケーションサーバ
(2)
統合端末
2
システム管理者は、システム担当者及び前条第1項の規定により操作者に指定された者(以下「操作者等」という。)に前項各号に掲げる機器を操作する権限を付与するものとする。
この場合において、付与する権限の範囲は、当該者がその業務を行うために必要な範囲に限るものとする。
3
第1項のアクセス管理は、照合情報認証により操作者等の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(照合ID、照合情報及び操作者ID)
第15条
システム管理者は、第6条第2項の規定によりシステム担当者を指定したとき、又は第13条第1項の規定により操作者を指定したときは、次の各号に掲げる事務を処理するものとする。
(1)
操作者等に照合IDを付与すること。
(2)
操作者等の照合情報を作成すること。
(3)
操作者等に対して操作者IDを付与すること。
2
システム管理者は、第6条第3項の規定によりシステム担当者の指定を解除したとき、又は第13条第3項の規定により操作者の指定を解除したときは、照合情報を削除し、照合IDを無効化しなければならない。
3
システム管理者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施するものとする。
(1)
照合ID及び操作者IDの管理方法を定めること。
(2)
照合情報の登録及び削除の管理方法を定めること。
(3)
操作者IDの種類ごとの操作者について、住基ネットを利用する部署の長と協議して定めること。
(4)
照合ID及び操作者IDの管理簿を作成すること。
(操作者等の責務)
第16条
操作者等は、前条第3項の規定により定められた照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の保管)
第17条
システム管理者は、第14条第3項の規定により記録した操作履歴について、7年間保管するものとする。
(情報資産の管理)
第18条
システム管理者は、住基ネットに係る情報資産を管理するものとする。
2
システム管理者は、本人確認情報の漏えい、滅失及び毀損の防止その他本人確認情報の適切な管理のため必要な措置を講ずるものとする。
(措置命令)
第19条
セキュリティ統括責任者は、セキュリティ対策の実施状況を常に把握し、システム管理者その他の関係者の行うセキュリティ対策が十分でないと認めるときは、関係者に対し、セキュリティの確保のため必要な措置をとるべきことを命ずるものとする。
(障害等発生時の対応)
第20条
セキュリティ統括責任者は、緊急時対応計画書を作成し、住基ネットに係るソフトウェア、ハードウェア及び電気通信回線等のネットワークの障害によりシステムが停止し、又は不正アクセス等の不正行為による本人確認情報の漏えい、滅失又は毀損のおそれがある場合に、システム管理者その他の関係者がとるべき必要な措置を定めておかなければならない。
2
前項に規定する事態が発生した場合においては、システム管理者その他の関係者は、緊急時対応計画書に基づき必要な措置を講じ、適切に対応しなければならない。
(委託を受けようとする者の管理体制等の調査)
第21条
住基ネットを管理し、又は利用する部署の長は、外部への委託(2以上の段階にわたる委託を含む。以下「外部委託」という。をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第22条
住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託をする事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を得て、セキュリティ総括責任者の承認を得なければならない。
(委託契約書への記載事項)
第23条
外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1)
再委託の禁止又は制限に関する事項
(2)
情報が記録された資料の保管、返還又は廃棄に関する事項
(3)
情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(4)
情報の秘密保持に関する事項
(5)
事故等の報告に関する事項
第4章 雑則
(その他)
第24条
この訓令に定めるもののほか、この訓令の実施に関し必要な事項は、町長が別に定める。
附 則
この訓令は、公示の日から施行する。
附 則(平成19年2月1日訓令第2号)
この訓令は、平成19年4月1日から施行する。
附 則(平成24年10月30日訓令第13号)
この訓令は、公示の日から施行する。
附 則(平成27年12月28日訓令第22号)
この訓令は、平成28年1月1日から施行する。
附 則(平成31年4月1日訓令第10号)
この訓令は、公示の日から施行する。
第1号様式(第10条)
重要機能室の入退室管理簿
[別紙参照]